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PROCEDE D'AUTHENTIFTCATTON ANTONYME 

La presente invention se rapporte a un procede 
d'authentification par cle secrete d'au moins un 
utilisateur, en vue par exemple d'autoriser ou non cet 
utilisateur a acceder a des ressoarces lorsque 1'anonymat 
de 1' utilisateur qui s ' authentif ie est requis. 
Dans la presente description, le terme de ressources doit 
Stre pris avec une acceptation trres large et designe de 
maniere generale toute fonction, application, service, 
ensemble de donnees a laquelle un utilisateur pent 
acceder et dont l'acces est conditionne par une 
autorisation prealable delivree a 1' issue d'une procedure 
d'authentification. A titre d' exemple non limitatif, il 
peut s'agir d'un service fouirni par un serveur 
specialise, une fonction d'acces a un reseau, une 
ressource informatique telle qu'uine base de donnees ou 
une application logicielle disponible sur un serveur et 
pouvant etre partagee par plusieurs utilisateurs . 

D'une maniere generale, 1 ' authenti f ication est un service 
de securite realise par une entite d'authentification, 
dont l'objectif est de valider 1'identite d'un 
utilisateur qui souhaite s ' identi f ier , apportant par la 
ineme la preuve de la legitimite de cet utilisateur a 
acceder aux ressources concedes. Une entite 
d'authentification designe communement tout equipement, 
machine ou systeme informatique qui permet de centraliser 
un processus d'authentification et qui est accessible par 
des utilisateurs souhaitant s ' authentif ier pour l'acces a 
des ressources, via un reseau de telecommunication. 
De fagon usuelle, un utilisateur souhaitant declencher un 
processus d'authentification dispose d'une entite cliente 
lui permettant de communiqcuer avec 1' entite 
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d' authentif ication. Une entite cliente dans la presente 
description, design© tout systeme ou equipement 
electronique permettant d'echanger des donnees avec 
1' entite d' authentif ication, de preference sans contact. 
Selon 1'art ant£rieur, 1 ' authentif ication par cle secrete 
se caracterise essentiellement par la succession d'etapes 
suivantes telles que representees a la figure 1. Ainsi, 
lorsque une entite cliente A souhaite s ' authentif ier 
aupres d'une entity d' authentif ication B, elle fournit 
dans un premier temps son identite a 1' entite B, sous la 
forme d'un identifiant statique qui lui est specif ique, 
ot la prouve ensuite par 1 ' utilisation d'une cl6 secrete 
K A connue et partagee par les entites A et B seulement. 
Pour ce faire, lorsque 1' entite d' authentif ication B 
regoit une demande d' authentif ication emise par une 
entite cliente se presentant a elle comme detentrice de 
1' identite A, ladite entite d' authentif ication genere 
d'abord un nombre aleatoire appele al£a, ou encore appele 
challenge, et envoie cet alea a 1' entite cliente A. En 
retour, 1' entite cliente chiffre, on dit encore signe, 
1'alea regu selon un algorithme cryptographique predefini 
a cle secrete, tel que 1' algorithme DES (acronyme anglo- 
saxon pour « Data Encryption Standard ») . L ' entite A 
renvoie alors a 1' entite d' authentif ication B la valeur 
C(K A , alea), oH C est une fonction cryptographique. 
L' entite B effectue de son c6te le m§me calcul en 
utilisant la fonction cryptographique C et la cle secrete 
de A K A , et compare le r^sultat obtenu avec la valeur 
que lui a retourne 1' entite A. En cas de coherence entre 
le resultat attendu et la valeur que lui a retourn^e A, 
1' entity d' authentif ication B valide 1 ' authentif ication, 
signifiant ainsi que A a r£ussi k s ' authentif ier . La 
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validation de 1 ' authentif ication se traduit par exemple 
par 1' envoi par 1' entity d' authentif ication a destination 
de l'entite cliente A qui a ete authentif ie, des droits 
d'acces aux ressources. 

De telles methodes d' authentif ication a cle secrete sont 
largement repandues dans les reseaux de 

telecommunications , mais presentent toutef ois un certain 
nombre d' inconv^nients en ce qui concerne la garantie de 
l'anonymat de l'entite cliente souhaitant s ' authentif ier . 
En effet, pour initialiser le processus 

d' authentif ication, un identifiant specif ique de l'entite 
cliente est necessairement transmis en clair a l'entite 
d' authentif ication. Ainsi, un tiers malveillant est a 
meme de connaitre 1 ' identifiant specif ique de l'entite 
qui s 'authentif ie par 1 ' observation de la transaction 
entre l'entite d' authentif ication et l'entite 
s ' authentif iant . 

De plus, 1' identifiant specif ique d'une entity souhaitant 
s' authentif ier peut egalement §tre deduite par un tiers 
malveillant agissant cette fois de fagon active, c'est-a- 
dire en initialisant un processus d' authentif ication en 
se faisant passer pour une entity d' authentif ication vis- 
a-vis de l'entite s ' authentif iant . 

Une entite s ' authentif iant peut encore etre reconnue par 
1 ' observation de son comportement et, plus 
particulierement par 1 ' observation des reponses fournies 
par l'entite au cours de processus d' authentif ication 
ant6rieurs . 
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En effet, les reponses fournies par . une entite 
s 'atithentif iant sont caracteristiques de certaines 
enturees correspondant aux aleas qui lui ont ete soumis 
par 1' entity d'authentif ication et, pour une meme entree, 
1' entite s ' authentif iant fournira tou jours la meme 
reponse. En observant au pr^alable la reponse de 1' entite 
a des valeurs caracteristiques d'alea, il est possible de 
reconnaitre une entity s 9 authentif iant en lui soumettant 
a nouveau une de ces valeurs d'alea pour laquelle une 
reponse de 1' entite a deja ete observee. Ainsi, une 
ent±t6 qui signe des aleas pour s 'authentif ier peut etre 
caracterisee par sa reponse pour une valevr d'alea 
particuliere (par exemple, 0, 10, 100, 1000, etc....). En 
observant deux identifications successives avec le meme 
alea, il est done possible de deduire si ce sont deux 
entites distinctes ou la m§me entity qui se sont 
auttaentif iees . 

La presente invention a pour but de remedier a ces 
inconvenients en proposant un procede d' authentif ication 
base sur un algorithme de chiffrement a cle secrete, dans 
leqiael l'anonymat de 1' entite s ' authentif iant est 
garaxiti, de sorte a ce que seule une entite 
d'aiathentif ication legitime puisse reconnaitre l'identite 
de 1' entite qui s ' authentif ie et personne d' autre. 

Avec cet objectif en vue, 1' invention a pour objet un 
procede d' authentif ication d'au moins une entite" cliente 
par une entite d' authentif ication, ladite entite 
d' aiathentif ication comprenant un ensemble de cles 
secretes, chacune etant associee a une entite cliente 
susceptible d'etre identified par ladite entite 



4 



WO 2005/101726 



PCT/FR2005/000528 



d' authentif ication, ledit precede etant caracterise en ce 
qu'il comprend les etapes suivantes consistant a : 
a-transmettre une demande d' authentif ication anonyme de 
la part de l'entite cliente vers l'entite 
d' authentif ication ; 

b-envoyer die l'entite d ' authentif ication vers l'entite 
cliente, line valeur de compteur d ' authentif ication 
correspondant a 1'etat courant d'un compteur de l'entite 
d' authentif ication; 

c-verifier, cote entite cliente, que la valeur de 
compteur ci ' authentif ication regue est strictement 
superieure a une valeur de compteur memorisee par 
l'entit6 cliente ; 

d-calculer, c6te entite cliente, une signature de 
compteur par* application d'une fonction cryptographique 
partagee par l'entite cliente et l'entite 
d' authentif ication, avec comme operandes ladite valeur de 
compteur d' authentif ication et une cle secrete associee a 
l'entite cliente ; 

e~transmettre ladite signature de compteur a l'entite 
d ' authentif ication ; 

f-mettre a jour la valeur de compteur memorisee par 
l'entite cliente avec ladite valeur de compteur 
d' authentif ication ; 

g-rechercher, c6te entite d' authentif ication, au moins 
une entity cliente susceptible d'§tre identifiee, pour 
laquelle la signature de compteur correspondant e pour 
ladite valeur de compteur d' authentif ication est 
coherent e avec la signature de compteur regue ; 
h-faire croitre le compteur d' authentif ication. 
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De preference, les etapes b) a h) sont reiterees au moins 
une fois, de sorte a s' assurer que 1' entite cliente 
identifiee est identique a chaque iteration. 
Selon un mode de realisation particulier, l'etape de 
recherche consiste a : 

i-calculer, pour cliaque entity cliente susceptible d'§tre 
identifiee, la signature de compteur correspondante par 
application de la f one t ion cryptographique avec coitime 
operandes la valeur de compteur d' authentif ication et la 
cle secrete associee, de sorte a etablir une liste de 
couples entit6 cliente susceptible d'etre 

identif iee/ signature de compteur correspondante, pour 
ladite valeur de compteur; 

j -verifier la coherence entre la signature de compteur 
regue et au moins une signature de compteur de ladite 
liste . 

De preference, la liste des couples entite cliente 
susceptible d'etre identif iee/ signature de compteur 
correspondante etablie pour une valeur de compteur 
d' authentif ication donnee, est ordonnee, cote entite 
d' authentif ication, selon la valeur de ladite signature 
de compteur. 

Selon ce mode de realisation, en cas de coherence entre 
la signature * de compteur regue et la signature de 
compteur d'une pltiralite de couples, les etapes b) a h) 
sont reiterees jusqu'a obtention d'un couple unique pour 
lequel la signature de compteur correspond a la signature 
de compteur regue. 

De preference, lors de la repetition de l'etape i) , la 
signature de compteur est calculee uniquement pour les 
entit6s clientes correspondant a ladite pluralite de 
couples determinee a 1' iteration precedente . 
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Dans une variante, le procede selon 1' invention consiste 
a mettre en ceuvre l'etape i) de maniere anticipee par 
rapport a une demande d' authentif ication issue d'une 
entite cliente a l'etape a), ladite etape i) anticipee 
consistant a pre-etablir, cote entite d' authentif ication, 
pour au moins une valeur de compteur d' authentif ication a 
venir, la liste des couples entite cliente susceptible 
d'etre identifiee/ signature de compteur correspondante 
pour chacune desdites valeurs de compteur 
d' authentif ication a venir, et a memoriser lesdites 
listes pre-etablies cote entite d' authentif ication, tout 
envoi de 1' entite d' authentif ication vers 1' entite 
cliente d'une valeur de compteur d' authentif ication, 
correspondant a 1' envoi d'une valeur de compteur 
d' authentif ication pour lacnaelle une liste des couples 
entite cliente susceptible d'etre identifiee /signature de 
compteur correspondante a deja ete pre-etablie. 
De preference, l'etape h) consiste a faire croitre le 
compteur d' authentif ication d'un pas fixe. 

Dans une variante, l'etape h.) consiste a faire croitre le 
compteur d' authentif ication d'un pas aleatoire. 
Selon un mode de realisation particulier, en reponse a 
une demande d' authentif ication, l'etape b) consiste a 
envoyer, c6te entite d' authentif ication, en plus de la 
valeur de compteur d' authentif ication, une valeur 
aleatoire associee a ladite valeur de compteur, ladite 
valeur aleatoire etant differente pour chacune des 
valeurs de compteur d' authentif ication envoyee, chaque 
etape de signature de compteur mise en ceuvre au cours 
dudit procede etant remplacee par une etape de signature 
du couple valeur de compteur d' authentif ication/valeur 
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aleatoire associee, consistant en 1 ' application de la 
fonction cryptographique comprenant en plus coitune 
operande ladite valeur aleatoire associee. 

Selon une variante, 1 ' etape c) consiste en outre a 
verifier que la difference entre la valeur de compteur 
d'authentification regue et la valeur de compteur 
memorisee par l'entite cliente est inferieure ou egale a 
une valeur predeterminee . 

Dans une variante, lorsque 1 ' etape c) n'est pas verifiee, 
les etapes intermediaires suivarxtes sont mises en oeuvre 
consistant a : 

-envoyer de l'entite cliente v^rs l'entite 
d'authentification, la valeur de compteur memorisee par 
l'entite cliente ; 

-envoyer de l'entite d'authentification vers l'entite 
cliente, une valeur de compteur d'authentification 
temporaire superieure a ladite valeur de compteur 
memorisee par l'entite cliente, puis a : 

-mettre en oeuvre les etapes d) a g) sur la base de la 
valeur de compteur d'authentification temporaire et, en 
cas de succes de 1 ' authentif ication de ladite entite 
cliente, 

-mettre a jour la valeur de compteur d'authentification 
correspondant a l'etat courant clu compteur de l'entite 
d'authentification avec la valeur de compteur 
d'authentification temporaire et mettre en ceuvre 1 ' etape 
h) . 

De preference, 1 ' etape e) consiste a transmettre en outre 
a l'entite d'authentification la valeur de compteur 
d ' authentif ication . 
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De preference, la valeur de compteur d'ciuthentif ication 
est codee sur au moins 128 bits. 

It ' invention concerne egalement une carte a puce, 
caracterise en ce qu'elle comprend un circuit integre et 
des moyens de memorisation d'une cle secrete et de mise 
en ceuvre du procede selon 1' invention. 

De preference, il s'agit d'une carte a puce sans contact. 
L' invention concerne encore une entite d' authentif ication 
d'au moins une entite cliente, caracterise en ce qu'elle 
comprend un lecteur de carte a puce dote de moyens pour 
la mise en ceuvre du procede selon 1'invenhion. 
De preference, 1' entite d' authentif icati on comprend un 
lecteur de carte k puce sans contact. 

D'autres caracteristiques et avantages die la presente 
invention apparaitront plus clairement a la. lecture de la 
description suivante donnee a titre d'exeiaple illustratif 
et non limitatif et faite en reference aux figures 
annexe es dans lesquelles : 

— la figure 1 est un schema illustranfc. un processus 
<5.' authentif ication par cle secrete selon. l'etat de la 
technique, et a deja ete decrite ; 

— la figure 2 est ion schema illustrant les principales 
etapes du procede d' authentif ication selon la presente 
invention . 

La figure 2 decrit done les etapes principales du procede 
c3.' authentif ication par cle secrete d'une entite cliente A 
par une entite d' authentif ication B, selon la presente 
□Invention. 
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L'entite A souhaitant s ' authentif ier possede une c!6 
secrete K A qui lui est propre, un moyen de memorisation 
d'une valeur de compteur CA, ainsi qu'une fonction 
cryptographique de signature S, partagee egalement par 
l'entite d' authentif ication B, et qui est prevue pour 
s'appliquer avec les deux operandes suivants : une cle 
secrete et une valeur de compteur, de sorte a signer la 
valeur de compteur. 

L'entite d' authentif ication B comprend quant a elle une 
liste de couples (Ai, K Ai ) , Ai etant le nom d'lane des n 
entites clientes susceptibles d'etre authentif iees par 
l'entite d' authentif ication B et K Ai etant la cl6 secrete 
associee a l'entite cliente Ai qui lui est propre. 
L'entite d' authentif ication ... comprend Egalement un 
compteur COMPTB delivrant une valeur de compteur CB et la 
fonction cryptographique S, identique a celle implementee 
dans l'entite cliente A, 

Le d^roulement du processus d' authentif ication anonyme 
selon 1' invention est le suivant . Dans une premiere 
6tape, lorsque l'entite cliente A veut s ' authientif ier 
aupres de l'entite d' authentif ication B, elle se signale 
a B par la transmission d'une demande d' authentif ication 
anonyme « Demande Authentif ication ». En reponse, dans une 
deuxi^me 6tape, l'entite d' authentif ication B envoie vers 
l'entite cliente A la valeur de compteur CB correspondant 
a 1'etat courant de son compteur COMPTB. 

Dans une troisi&me etape, l'entite cliente A compare la 
valeur de compteur CB regue avec la valeur de compteur CA 
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memorisee par l'entite cliente A. A ce stade, deux 
possibilities s' off rent a l'entite cliente A : 

Soit CA > CB, alors IL'entite cliente A ne fait plus rien 
car cette situation signifie qu'une entity essaye de 
faire rejouer une signature a l'entite cliente A. Or, 
selon une caracteristique de 1' invention, pour ne pas 
etre reconnais sable par son comportement, une entite 
cliente ne signe ja-mais deux fois les memes donnees. 
Cette situation met done fin au processus 
d' authentif ication. 

Soit CA < CB, aloxrs l'entite cliente A peut avoirr 
confiance en l'entite d' authentif ication B car la valeuir 
de compteur regue CB etant superieure strictement a la. 
valeur de compteur memorisee par A, cela signifie que 
cette valeur de compteur CB ne lui a encore jamais ete 
soumise pour signature. Le processus passe alors a 
1 ' etape suivante . 

Dans une quatrieme etape, l'entite cliente A signe la 
valeur de compteur regue CB par application de la 
fonction cryptograph!- cjue S avec comme op^randes la cle 
secrete K A associ^e a l'entite cliente A et la valeur de 
compteur CB. Le resultat de cette operation de signature 
de compteur S(K A , CB) est transmis de l'entite cliente A 
vers l'entite d' authentif ication B. L'entite cliente A 
met alors a jour dans une cinquieme etape sa valeur de 
compteur memorisee CA avec la demiere valeur de compteur 
licite qui lui a. 6te transmis par l'entite 
d' authentif ication B, a savoir CB . 
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Dans une sixieme etape, a 'entity d' authentif ication B 
recherche au moins une entite cliente Ai parmi les n 
entites clientes qu'elle est capable d ' authentif ier, pour 
laquelle la signature correspondante de la valeur de 
compteur CB S(K Ai/ CB) est coherente avec la signature de 
compteur reqrue de l'entite cliente qui cherche a 
s ' authentif ier S(K A/ CB) . 

Si aucune entite cliente susceptible d'etre identifiee 
n'est trouvee, alors cela signifie que 1 ' authentif ication 
a echoue. A 1' inverse, si exactement une entite cliente 
Ai est trouvee b. 1' issue c3.e la phr.se de recherche pour 
laquelle S{K Ai , CB) = S (K A , CB) , alors l'entite 
d' authentif ication B en conclut que A = Ai . Cela signifie 
que c'est 1' entite cliente Ai qui a cherche a 
s 'authentif ier aupres de 1 'entite d' authentif ication B et 
que cette authentif ication ei reussi. 

Dans une septieme et derm i ere etape mettant fin au 

processus d'authentif icatiora, 1' entite d' authentif ication 

B fait croitre la valeur de compteur CB pour une 

* 

prochaine demande d' authentic f ication . 

II est possible qu'un fraucdeur, en renvoyant un n ombre 
tire au hasard, tombe sur une valeur S(K Ai/ CB) qui 
existe et done se fasse passer pour 1' entite cliente Ai , 
Pour eviter ce risque, l'entite d' authentif ication B peut 
systematiquement faire refaire le processus 

d' authentif ication au moins une seconde fois de sorte A 
s' assurer qu'il reconnalt chaque fois la meme entite 
cliente, Le processus peut meme etre repetee N fois, 
jusqu'a obtenir une probability de tomber au hasard N 
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fois sur une valeur de signature correspondant a la m@me 
entite cliente suf f isamment faible. 

Egalement, une autre optimisation du processus 
d ' authentif ication concerne la gestion des cas de 
collision. En effet, a 1' issue <3.e la sixieme etape, on 
peut aboutir a un cas de collision, c'est-a-dire que 
plusieurs entites clientes Ai. susceptibles d'etre 
identifiees par 1' entite d' authentif ication B ont 6t6 
trouvees pour lesquelles la signature de compteur S(K Ai/ 
CB) est coherente avec la signaturre de compteur regue S(K 
a * CB) . II existe en effet une probability faible, mais 
non nulle, pour la fonction crypt ographique de signature 
S fournisse un resultat identicque pour deux dormees 
differentes. Dans cette situation de collision, il est 
n^cessaire de repeter les e tapes du procede a partir de 
la deuxieme etape, avec une v-aleur de compteur CB 
incr<§ment6e a chaque repetition., jusqu'a l'obtention 
d'une entite cliente Ai susceptdlble d'etre identifiee 
unique, pour laquelle S(K Ai , CB) = S(K A/ CB) . 

La sixieme 6tape, consistant en la. phase de recherche par 
1' entite d' authentif ication d'au ntoins une entity cliente 
Ai parmi les n entites clientes qu'elle est capable 
d ' authentif ier, pour laquelle la signature correspondante 
de la valeur de compteur CB S(K Ai , CB) est coherente avec 
la signature de compteur regue do 1 ' entite cliente qui 
cherche a s ' authentif ier S(K A , CB) , peut etre mise en 
ceuvre de la maniere suivante. L' entite d' authentif ication 
B calcule, pour chaque entite cliente Ai susceptible 
d'§tre identifiee, la signature de compteur 
correspondante S(K A i, CB) par application de la fonction 
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cryptographique S avec comme op6randes la valeur de 
compteur d' authentication CB et la cl<§ secrete associ^e 
K Ai/ de sorte a etablir une liste de couples entite 
cliente susceptible d' etre identif iee/ signature de 
compteur correspondante (Ai, S(K Ai , CB) ) , pour la valeur 
de compteur CB courante. 

Une fois cette liste etablie, 1'entite d' authentif ication 
la parcourt pour verifier s'il existe au mollis une entite 
cliente susceptible d'etre identif iee Ai veoerifiant S(K Ai/ 
CB) = S(K A , CB) - 

Dans le cas ou plusieurs couples (Ai, S(K Ai , CB) ) 
correspondent, on a vu qu'il etait necessaire de r^peter 
les operations d' envoi et de signature d'une valeur de 
compteur CB. Neanmoins, cette repetition peut encore 
aboutir a 1'existence de plusieurs couples (Ai, S(K Ai , 
CB) ) qui correspondent. Dans ce cas, il est prevu de ne 
chercher les couples possibles que parmi les couples 
ayant deja ete selectionnes aux iterations precedentes. 
Ainsi, le procede convergera plus vite vers une entite 
cliente Ai unique puisque, a chaque iteration, la 
signature de compteur S(K Ai , CB) est calculee uniquement 
pour les entites clientes Ai correspondant aux couples 
(Ai, S(KAi, CB)) selectionnee a l'iteration pxecedente. 

A la sixi£me etape, la phase de calcul par B, pour chaque 
entite cliente Ai susceptible d'etre identif iee, de la 
signature de compteur correspondante S(K Ai , CB) , de sorte 
a Etablir la liste de couples entite cliente susceptible 
d'§tre identif i<§e/ signature de compteur correspondante 
(Ai, S(K Ai , CB)), pour la valeur de compteur- CB courante 
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peut etre tres longue et p^nalisante en termes de temps 
de r6ponse. Pour regler ce probleme, selon unie variante 
de 1' invention, il est pr^vu que l'entite 
d'authentif ication B pre-calcule , pour au moins une 
valeur de compteur d'authentif ication CB a -venir, les 
listes de couples (Ai, S(K Ai , CB) ) pour ces valeurs CB a 
venir et memorise ces r6sultats . Ainsi, lorscju'' une entite 
cliente souhaitera s ' authentif ier par 1' envoi du message 
DemandeAuthentif ication, 1 ' entite d' authenti£ication B 
repondra en envoyant une valeur de compter 
d'authentif ication CB pour laquelle la liste (Ai, S(K Ai/ 
CB) ) aura deja ete etablie. De maniere genera les , selon r:e 
mode de realisation, tout envoi de B vers A d' une valeur 
de compteur d ' authentif ication CB correspondra a une 
valeur de compteur d' authentif ication pour lacjuelle une 
liste (Ai, S(K Ai , CB) ) aura deja ete etablie. 

La phase de verification par l'entite d r authen.tif ication 
B, consistant a rechercher 1' existence d'au moins une 
entite cliente Ai de la liste (Ai, S(K*i, CB) ) pour 
laquelle S(K Ai , CB) = S(K A , CB) peut egalement etre tres 
longue en cas de recherche sequentielle, en theorie de 
l'ordre de n/2 tests avec une liste comportant n 
elements. Aussi, pour optimiser cette phase, la liste des 
couples obtenus (Ai, S(K Ai , CB) ) peut etre ordonnee de 
fagon croissante (ou decroissante) selon la valeur de la 
signature de compteur S(K Ai/ CB) . La recheirche d'un 
couple dans cette liste ordonnee pour lequel la signature 
de compteur S(K Ai , CB) correspond a S(K A , CB) peut alors 
etre faite selon une recherche dichotomique . L'entite 
cliente recherchee est dans ce cas trouv6e en moyenne 
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apres avoir effectue log 2 (n) operations, ce qui procure 
un gain de temps important. 

Le compteur CB 6tant unique pour chaque authentif ication, 
il peut etre utilise comme identifiant de session 
d* authentif ication. Ainsi, si plusieurs entites Ai sont 
en train de se faire authentifier simultanement par 
1' entity B, cette derniere peut distinguer les dialogues 
grtce a cette valeur. II suffit pour cela que les entites 
clientes chercbant a s ' authentif ier retournent la valeur 
CB en plus de la valeur de signature S (KA, CB) . 

De preference, le compteur COMPTB foumissant la valeur 
de compteur d' authentif ication CB croit d'un pas fixe. 
Toutefois, le fait que le compteur CB croisse d'un pas 
fixe permet de prevoir les valeurs de compteur 
d' authentif ication qui seront utilises lors des 
authentif ications a venir. De ce fait, un pirate peut 
demander plusieurs valeurs S (K A , CB) a une entity A pour 
plusieurs valeurs de compteurs CB et, ulterieurement , 
chercher a s ' authentif ier aupres de l'entite B en lui 
retournant les valeurs precedemment obtenues de l'entite 
cliente A. Ainsi, le pirate peut s 'authentif ier en se 
faisant passer pour A. Deux types de parade contre une 
telle attaque au systeme d' authentif ication peuvent etre 
mises en ceuvre . 

Tout d'abord, une premiere parade consiste a faire 
croltre le compteur COMPTB d'un pas aleatoire & chaque 
authentif ication, de sorte a ne plus utiliser des valeurs 
successives de CB . Dans ce cas, le compteur devra avoir 
une capacity plus grande afin de ne pas venir en butee. 
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Une autre parade consiste a ne plus faire signer a 
1' entity clierxte A cherchant a s ' authentif ier une simple 
valeur de compteur CB, mais un couple (CB, alea) , CB 
s ' incrementant reguli^rement et alea prenant des valeurs 
aleatoires. La valeur aleatoire est prevue pour etre 
differente pour chacune des valeurs de compteur 
d' authentif ication envoyee, et chaque etape de signature 
de compteur mise en ceuvre au cours du procede 
d' authentif ication dans l'une quelconque de ses variantes 
est alors remplacee par une 6tape de signature du couple 
[CB, alea), consistant en 1 ' application de la fonction 
cryptographique S avec en plus comme operande ladite 
valeur aleatoire associee. 

Le procede d' authentif ication tel qu'il vient d'etre 
decrit est vulnerable aux attaques par saut de compteur, 
basees sur le fait que les entites A et B se 
synchronisent sur la valeur de compteur CB a chaque 
authentif ication. Ainsi, une machine malveillante peut se 
faire passer pour l'entite d' authentif ication B et 
envoyer a l'entite cliente A cherchant a s ' authentif ier 
une valeur de compteur beaucoup plus grande que la valeur 
de compteur d' authentif ication CB effective, 
correspondant a la valeur courante du compteur COMPTB de 
l'entite B. En mettant a jour sa valeur de compteur 
memorisee CA avec cette grande valeur qui lui est 
soumise, l'entit6 A ne pourra plus repondre suite a une 
demande d' authentif ication tant que la valeur de compteur 
CB de l'entite d' authentif ication B n'aura pas rattrapee 
cette valeur CA, a cause du test de la troisieme 6tape. 
De plus, si la machine malveillante fournit a l'entite A 
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une valeur de compteur maximale, cette derniere, en 
ruettant a jour sa valeur de compteur memorisee CA a cette 
valeur- maximale, devient def initivement inutilisable par 
la suite. 

Les parades a ces attaques portent plus particulierement 
sur la troisieme etape du procede d' authentif ication, ou 
l'entite cliente A compare la valeur de compteur CB regue 
avec la valeur de compteur CA memorisee par l'entite 
cliente A. 

Dans le cas ou CA ;> CB, selon une variante de 
1' invention, les etapes intermediaires suivantes sont 
raises en ceuvre : 

-l'entite A signale a l'entite B que sa valeur de 
compteur memorisee CA est plus grande que la valeur CB et 
lui renvoie CA ; 

-l'entite B envoie a A une valeur de compteur CBtemporaire > 
CA ; 

puis, les autres 6tapes du procede d' authentif ication 
sont mises en ceuvre sur la base de cette valeur de 
CBtemporaire et, si 1 ' authenti f ication de l'entite A reussit 
avec CB tem poraire, alors l'entite B met a jour sa valeur de 
compteur d' authentif ication CB correspondant a l'etat 
courant de son compteur COMPTB avec la valeur de compteur 
d' authentif ication CB tempore iro. Enfin, le compteur est 
increment^ pour une prochaine authentif ication . Ce 
processus permet a l'entite d' authentif ication de se 
premunir contre une attaque par saut de compteur. En 
effet, elle va d'abord authentif ier l'entite cliente A 
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avec CBtemporaire, avant de mettre a jour son compteur. Ce 
processus permet egalement a l'entite cliente A de 
synchroniser le compteur de l'entite d' authentif ication B 
avec sa valeur de compteur memorisee, si ce dernier avait 
subi une attaque par saut de compteur. 

A ce stade, l'entite B peut aussi implementer des 
protections supplementaires . Par exemple, B peut 
n'autoriser qu'un certain nombre de ces synchronisations 
de compteur par entite cliente et par periode. Egalement, 
B peut n'autoriser ces protections que dans une limite 
raisonnable ou la difference entre la valeur dc compteur 
m&norisee par l'entite cliente CA et la valeur de 
compteur d' authentif ication CB est inferieure a une 
valeur pr6determinee . 

Selon une autre variante, a la troisieme etape du 
procede, dans le cas ou la relation CA < CB est verifiee, 
on verifie en outre, cdte entite cliente, que la 
difference entre la valeur de compteur d' authentif ication 
CB regue et la valeur de compteur CA memorisee par 
l'entite cliente est inferieure ou egale a une valeur 
predetermines A, soit CB - CA < A. L'entite A n'accepte 
de signer la valeur de compteur CB que si cette condition 
supplementaire est verifiee. Cette condition 

suppl^mentaire permet a l'entite cliente A cherchant a 
s 'authentif ier de limiter les attaques par saut de 
compteur en n'acceptant qu'une incrementation moderee de 
sa valeur de compteur memorisee et en ignorant les 
sollicitations utilisant une valeur de compteur 
d' authentif ication tr&s sup6rieure a sa valeur de 
compteur memorisee. 
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Selon un exemple de realisation, les valeurs de compteur 
CA et CB peuvent dtre des nombres binaires codes sur au 
moins 128 bits, ce qui permet d'executer 2 128 
authentif ications avant que le systeme n' arrive a 
1' exhaustion du compteur COMPTB. 

Les etapes du precede selon 1' invention cote entite 
cliente, sont par exemple implementees sur une carte a 
puce, de preference une carte a puce sans contact. Une 
carte a puce pour la mise en oeuvre des etapes du proced£ 
selon 1' invention ne necessite que peu de capacite de 
calcul dans la mesure ou les operations a executer sont 
simples (au plus la signature d'un compteur). L'entite 
d' authentif ication se pr^sente alors sous la forme d'un 
lecteur de carte a puce avec ou sans contact. 

Avant ageusement, grace au procede selon l r invention, 
seule une entite d' authentif ication legitime peut 
reconnaitre l'identite de 1' entite cliente cherchant a 
s' authentif ier. L'identite de l'ent±t6 cliente A 
cherchant a s ' authentif ier n'est connue que de 1' entite 
d' authentif ication B et n'est jamais r£v6lee au cours de 
1' authentif ication. De plus, 1' entite cliente A ne sait 
pas sous quel nom elle est identifiee par 1' entite 
d' authentif ication. L'entite qui s ' authentif ie n'a en 
fait aucune identite statique qui pourrait §tre revelee . 
D' autre part, en faisant en sorte qu'une entite refuse de 
s ' authentif ier en presence d'une question qui lui a deja 
et6 soumise, un tiers malveillant est incapable de 
distinguer des entites. Au vue de deux authentif ications 
successives, il n'est pas possible de dire si ce sont 
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deux entites distinctes ou la m§me entite qui se sont 
aiathentif iees . L'anonymat est done complet. 
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REVENDI CAT IONS 



1. Procede d' authentif ication d'au moins une entite 
cliente (A) par une entite d' authentif ication (B) , ladite 
entite d' authentif ication (B) comprenant un ensemble de 
cles secretes (K Ai ) , chacune etant associee a une entite 
cliente <Ai) susceptible d'etre identifiee par ladite 
entite d' authentif ication, ' ledit procede etant 
caracterise en ce qu'il comprend les etapes suivantes 
consistant a : 

a-transmettre une demande d' authentif ication anonyme 
(DemandeAuthentif ication) de la part de 1' entite cliente 

(A) vers 1' entite d' authentif ication (B) ; 

b-envoyer de 1' entite d' authentif ication (B) vers 
1' entite cliente (A) , une valeur de compteur 
d' aiathentif ication (CB) correspondant a l'etat courant 
d'un. compteur (COMPTB) de 1' entite d' authentif ication 

(B) ; 

c -v6rifier, cote entite cliente (A) , que la valeur de 
compteur d' authentif ication (CB) regue est strictement 
superieure a une valeur de compteur (CA) iruSmorisee par 
1'en.tite cliente ; 

d-calculer, cote entite cliente (A), une signature de 
compteur par application d'une fonction cryptographique 
(S) partagee par l r entite cliente et 1' entity 
d' authentif ication, avec comme operandes ladite valeur de 
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compteur d' authentif ication (CB) et une cle secrete (K A ) 
associee a IL' entite cliente (A) ; 

e-transmettore ladite signature (S(K A , CB) ) de compteur a 
l'entite d' ciuthentif ication (B) ; 

f-mettre a jour la valeur de compteur (CA) memorisee par 
l'entite cliente (A) avec ladite valeur de compteur 
d' authentif ication (CB) ; 

g-rechercher*, c6te entite d' authentif ication (B) , au 
moins une entite cliente (Ai) susceptible d'etre 
identifiee, pour laquelle la signature de compteur 
correspondante (S(K Ai , CB) ) pour ladite valeur de 
compteur d' authentif ication (CB) est coherente avec la 
signature de compteur recue (S(K A , CB) ) ; 

h-faire croSltre le compteur d' authentif ication (COMPTB) • 

2. Procede d ' authentif ication selon la revendication 1, 
caracterise en ce que les etapes b) a h) sont reiterees 
au moins une fois, de sorte k s' assurer que l'entite 
cliente identifiee est identique a chaque iteration. 

3. Procede selon la revendication 1 ou 2, caracterise en 
ce que l'etape de recherche consiste a : 

i-calculer, pour chaque entite cliente (Ai) susceptible 
d'etre idemtifiee, la signature de compteur 
correspondante <S(K Ai , CB) ) par application de la 
fonction cryptographique (S) avec comme operandes la 
valeur de compteur d' authentif ication (CB) et la cle 
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secrete associee (K Ai ) , de sorte a etablir une liste de 
couples entity cliente susceptible d'etre 

identif i6e/ signature de compteur correspondante (Ai, 
S(K Ai , CB) ) , pour ladite valeur de compteur (CB) ; 

j -verifier la coherence entre la signature de compteur 
regue (S(K A , CB) ) et au moins une signature de compteur 
<S(K Ai , CB)) de ladite liste. 

4. Procede d' authentif ication selon la revendication 3, 
caracterise en ce que la liste des couples entite cliente 
susceptible d'etre identif iee/signature de compteur 
correspondante (Ai , S(K Ai/ CB) ) etablie pour une valeur 
de compteur d' authentif ication (CB) donnee, est ordonnee, 
cot<§ entite d' authentif ication, selon la valeur de ladite 
signature de compteur (S(K A i, CB) ) . 

5. Procede d' authentif ication selon la revendication 3 ou 
4, caract£ris6 en ce qu'en cas de coherence entre la 
signature de compteur regue (S(KA, CB) ) et la signature 
de compteur (S(K Ai , CB) ) d'une pluralite de couples, les 
etapes b) a h) sont reiterees jusqu'a obtention d'un 
couple unique pour lequel la signature de compteur 
correspond a la signature de compteur regue . 

6. Procede d ' authentif ication selon la revendication 5, 
caracterise en ce cgue, lors de la repetition de l'etape 
i), la signature de compteur (S(K A i, CB) ) est calcul^e 
uniquement pour les entites clientes (Ai) correspondant a 
ladite pluralite cie couples determinee a 1' iteration 
prec^dente . 
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7. Proced£ d'authentif ication selon l'une quelconque des 
revendications 3 a 5, caaract6rise en ce qu'il consiste a 
mettre en oeuvre 1' etape i) de maniere anticipee par 
rapport a une demands <d' authentif ication issue d'une 
entity cliente (A) a l'etape a), ladite etape i) 
anticipee consistant a pr6-etablir, cote entite 
d'authentif ication (B) , pour au mo ins une valeur de 
compteur d' authentif ication (CB) a venir, la liste des 
couples entite cliente susceptible d'etre 
identifiee/ signature de compteur correspondante (Ai, 
S(K A i, CB) ) pour chacune desdites valeurs de compteur 
d' authentif ication a venir, et a memoriser lesdites 
listes pre-etablies c6te entite d' authentif ication (B) , 
tout envoi de 1' entite d' authentif ication (B) vers 
1' entite cliente (A) d'une valeur de compteur 
d' authentif ication (CB) , correspondant £ 1 ' envoi d'une 
valeur de compteur d' authentif ication (CB) pour laquelle 
une liste des couples entite cliente susceptible d'§tre 
identif iee/signature de compteur correspondante (Ai, 
S(K Ai , CB) ) a deja ete pre-etablie. 

8. Procede d' authentif ication selon l'une quelconque des 
revendications precedent es , caracterise en ce que 1' etape 
h) consiste a fadLre croitre le compteur 
d' authentif ication (COMPTB) d'un pas fixe. 

9-. Procede d' authentif ication selon l'une quelconque des 
revendications 1 & 7, carracteris^ en ce que 1 ' etape h) 
consiste a faire croitre le compteur d ' authentif ication 
(COMPTB) d'un pas al^atoire. 
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10. Precede d' authentif ication selon l'une quelconque des 
revendications 1 a 8, caracterise en ce que, en reponse a 
une demande d' authentif ication, l'etape b) consiste a 
envoyer, cote entite d' authentif ication (B) , en plus de 
la valeur de compteur d' authentif ication (CB) , une valeur 
aleatoire associee a ladite valeur de compteur (CB) , 
ladite valeur aleatoire etant diff^rente pour chacune des 
valeurs de compteur d' authentif ication envoyee, chaque 
etape de signature de compteur mise en oeuvre au cours 
dudit procede etant remplacee par une etape de signature 
du couple valeur de compteur d' authentif ication/valeur 
aleatoire associee, consistant en 1 ' application de la 
fonction c ryp to graph i que (S) comprenant en plus comme 
operande ladite valeur aleatoire associee . 

11. Procede d' authentif ication selon l'une quelconque des 
revendications precedentes, caracterise en ce que l'etape 
c) consiste en outre a verifier que la difference entre 
la valeur de compteur d' authentif ication (CB) regue et la 
valeur de compteur (CA) memorisee par 1' entite cliente 
est inferieure ou egale a une valeur predeterminee . 

12. Procede d' authentif ication selon l'une quelconque des 
revendications la 10, caracterise en ce que, l'etape c) 
n' etant pas verifiee, les etapes intermediaires suivantes 
sont mises en oeuvre consistant a : 

-envoyer de 1' entite cliente (A) vers 1' entity 
d' authentif ication (B) , la valeur de compteur (CA) 
me§moris6e par 1' entite cliente ; 
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-envoyer de l'entite d' authentif ication (B) vers 1' entity 
cliente (A), une valeur de compteur d' authentif ication 
temporaire super ieure a ladite valeur de compteur (CA) 
m6moris6e par l'entite cliente, puis a : 

-mettre en oeuvre les Stapes d) a g) sur la base de la 
valeur de compteur d' authentif ication temporaire et, en 
cas de succes de 1 ' authentif ication de ladite entite 
cliente, 

-mettre a jour la valeur de compteur d' authentif ication 
(CB) correspondant a l'etat courant du compteur (COMPTB) 
de l'entite d' authentif ication (B) avec la valeur de 
compteur d' authentif ication tempoiraire et mettre en ceuvre 
1 ' etape h) . 

13. Procede selon l'une quelconque des revendications 
precedentes , caract^rise en ce que 1' etape e) consiste a 
transmettre en outre a l'entite d' authentif ication (B) la 
valeur de compteur d' authentif ication (CB) . 

14. Procede d' authentif ication selon 1'une quelconque des 
revendications precedentes, caracterise en ce que la 
valeur de compteur d' authentif ication (CB) est codee sur 
au moins 128 bits. 

15. Carte & puce, caracterise en ce qu'elle comprend un 
circuit integr6 et des moyens de memorisation d'une cle 
secrete (K A ) et de mise en oeuvre du procede selon l'une 
quelconque des revendications Ik 14 . 
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IL6. Carte a puce selori la revendication 15, caracteris£ 
en ce qu'il s'agit d'une carte a puce sans contact. 

IL7. Entite d' authentif ication (B) d'au moins une entite 
cliente (A), caracterise en ce qu'elle comprend un 
lecteur de carte a puce dote de moyens pour la mise en 
oeuvre du precede selon 1 'une quelconque des 
revendications 1 a 14 . 

18. Entite d ' authentif ication selon la revendication 17, 
caracterise en ce qu'elle comprend un lecteur de carte a 
puce sans contact. 
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